Citrix NetScaler ADC/Gateway cihazlarını etkileyen kritik bir bilgi ifşaat güvenlik açığı olan CVE-2023-4966, diğer adıyla “Citrix Bleed”, tehdit aktörleri tarafından büyük ölçüde istismar ediliyor.
Güvenlik araştırmacısı Kevin Beaumont’un siber güvenlik sektörü kaynaklarına göre, bir fidye yazılımı grubu, saldırı zincirini otomatikleştirmek için operatörlerine bir Python betiği dağıttı ve diğer gruplar da çalışan bir açıktan yararlanmaya başladı.
CVE-2023-4966’dan yararlanıldı
Tehdit aktörleri geçmişte Citrix NetScaler ADC’deki güvenlik açıklarından hızla yararlandı ve bu güvenlik açığının da bir istisna olmadığı açık.
CVE-2023-4966, saldırganların internete yönelik savunmasız Netscaler cihazlarının belleğinden geçerli oturum belirteçlerini ele geçirmesine olanak tanıyan, uzaktan ve kolayca yararlanılabilen bir güvenlik açığıdır. Güvenliği ihlal edilen oturum belirteçleri daha sonra aktif oturumları ele geçirmek, yani kimlik doğrulamayı (hatta çok faktörlü kimlik doğrulamayı bile) etkili bir şekilde atlamak ve cihaza sınırsız erişim sağlamak için kullanılabilir.
Citrix, 10 Ekim’de güvenlik güncellemelerine işaret eden ve müşterileri bunları hızlı bir şekilde uygulamaya teşvik eden ilgili bir güvenlik danışma belgesi yayınladı.
Bir hafta sonra Mandiant araştırmacıları, güvenlik açığının saldırganlar tarafından Ağustos 2023’ün sonlarından bu yana profesyonel hizmetlere, teknolojiye ve devlet kuruluşlarına saldırmak için sıfır gün olarak kullanıldığını ortaya çıkardı.
Mandiant, savunmasız cihazları güncellemenin saldırganları bu cihazlardan başlatmak için yeterli olmadığına dikkat çekti; yöneticilere tüm aktif oturumları sonlandırmasını ve saldırganların arkasında web kabukları veya arka kapılar bırakıp bırakmadığını kontrol etmelerini tavsiye etti.
Netscaler’ın daha yeni bir blog yazısı, ilkinin nasıl yapılacağını açıklıyor.
Cihazlarınızın güvenliğinin ihlal edilip edilmediğini öğrenme
Mandiant araştırmacıları, “Mevcut günlük kayıtlarının veya istismar faaliyetinin diğer eserlerinin bulunmaması nedeniyle, bir önlem olarak kuruluşların, savunmasız bir NetScaler ADC veya Gateway cihazı aracılığıyla kaynaklara erişim için sağlanan kimlikler için kimlik bilgilerini döndürmeyi düşünmesi gerektiğini” belirtti.
Ancak daha yaygın saldırılar gerçekleşmeye başladığından beri (Assetnote araştırmacıları 25 Ekim’de kavram kanıtlayıcı bir istismar komut dosyası yayınladıktan sonra), web erişim günlüklerinde uzlaşmaya işaret edebilecek bazı şeyler kaydediliyor.
“Tehdit aktörlerinin çoğu, çalınan oturum anahtarlarını daha sonra gönderen bir Python betiği kullanıyor. /logon/LogonPoint/Kimlik Doğrulama/GetUserName — yani trafiği göreceksiniz,” diye belirtti Beaumont.
“Eğer şu trafiği görürseniz [120+ attack IPs documented by GreyNoise]oturum belirteçlerini en kısa sürede geçersiz kılmak isteyebilirsiniz. Yapılacak başka bir iyi şey de aramaktır KullanıcıAdı Getir python ile birleştirildi Kullanıcı Aracısı alan veya sadece KullanıcıAdı Getir gerçek bir giriş talebinden önce – her ikisi de asla gerçekleşmemelidir.